驱动中枚举和关闭内核句柄

最新推荐文章于 2023-04-10 23:43:56 发布
最新推荐文章于 2023-04-10 23:43:56 发布
阅读量2.2k 收藏
点赞数
分类专栏: 驱动 文章标签: 驱动 内核句柄
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liwen930723/article/details/52662186
版权

WIN64AST的作者之前发布了一些教程,里面有关于关闭内核句柄的介绍,但是他忘了一件事,所以那份代码并不能真正的关闭内核句柄,而且他的代码。。。不敢用在项目里。有人在看雪上问过类似问题,我也回答过,在vista之后,windows会检查内核句柄值得有效性,也就是为什么下面我提供的代码中会有这一行:

*(PULONG64)HandleValue |= (ULONG64)KERNEL_HANDLE_MASK,为什么,自己想。

因为大多数时候我们都是关闭的文件句柄,这份代码就是只提供了关闭文件句柄,你可以自己改改。

 

 

头文件unlockfile.h:

 

#include "ntifs.h"

#pragma pack(8) //让编译器对这个结构作8字节对齐
typedef struct   _FILE_HANDLE_INFO
{
	CHAR	FilePath[264];
	HANDLE	hProcess;
	HANDLE	hHandle;
	PVOID	Object;
	ULONG	HandleCount;
}FILE_HANDLE_INFO, *PFILE_HANDLE_INFO;

typedef struct   _FILE_HANDLE_INFO_LIST
{
	ULONG64 Count;
	FILE_HANDLE_INFO Info[1];
}FILE_HANDLE_INFO_LIST, *PFILE_HANDLE_INFO_LIST;
#pragma pack() //取消8字节对齐,恢复为默认字节对齐

PFILE_HANDLE_INFO_LIST EnumFileHandle();
BOOLEAN ForceCloseHandle(HANDLE hProcess, HANDLE HandleValue);
BOOLEAN ForceCloseHandleByPath(const char* Path);

 

 

 

 

 

 

源文件unlockfile.c:

 

 

#include "unlockfile.h"

typedef struct _HANDLE_INFO{
	UCHAR	ObjectTypeIndex;
	UCHAR	HandleAttributes;
	USHORT	HandleValue;
	ULONG	GrantedAccess;
	ULONG64	Object;
	UCHAR	Name[256];
} HANDLE_INFO, *PHANDLE_INFO;

typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{
	USHORT	UniqueProcessId;
	USHORT	CreatorBackTraceIndex;
	UCHAR	ObjectTypeIndex;
	UCHAR	HandleAttributes;
	USHORT	HandleValue;
	PVOID	Object;
	ULONG	GrantedAccess;
} SYSTEM_HANDLE_TABLE_ENTRY_INFO, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO;

typedef struct _SYSTEM_HANDLE_INFORMATION {
	ULONG64 NumberOfHandles;
	SYSTEM_HANDLE_TABLE_ENTRY_INFO Handles[1];
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

typedef struct _OBJECT_BASIC_INFORMATION {
	ULONG                   Attributes;
	ACCESS_MASK             DesiredAccess;
	ULONG                   HandleCount;
	ULONG
最低0.47元/天 解锁文章
西伯利亚的寒流
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
枚举内核句柄表(Windows内核学习笔记)
KOOKNUT的博客
04-14 872
前面我写过有关内核句柄表的一些知识,今天来在这里跟大家分享一下我自己写的内核枚举进程句柄方法。 #include"EnumProcessHandleTable.h" #ifdef _WIN64 #define _HANDLE_TABLE_ 0x200 //硬偏移Win7x64下的HANDLE_TABLE字段在EPROCESS下的偏移 #define _OFFSET_ ...
Win64 驱动内核编程-30.枚举与删除线程回调
天使也掉毛
04-04 4495
枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。 我们注册的进程回调,会存储在一个名为PspCreateProc...
驱动关闭句柄注意事项
weixin_34266504的博客
03-13 422
2019独角兽企业重金招聘Python工程师标准>>> ...
驱动开发:内核枚举PspCidTable句柄
热门推荐
CSDN
10-16 1万+
在上一篇文章我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种表(内核句柄表),表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄表不属于任何进程,也不连接在系统的句柄表上,通过它可以返回系统的任何对象。
枚举进程内核句柄
Debug Hacker
12-01 1704
最近由于有一点点的时间,写了一个小工具,主要目的是总结前段时间对内核句柄的一些学习,功能很简单,类似于Process Explorer查看进程句柄的方法,在win7 x64上测试通过,效果如下图: 注意有些路径为空是因为x64下32位程序对64位程序用GetModuleFileNameEx获取进程的全路径是无法获取的,这个问题如果有好的解决方案欢迎推荐,自己太菜了... 代码上传到了C
易语言源码易语言枚举内核驱动源码.rar
03-31
"易语言源码易语言枚举内核驱动源码.rar" 是一个包含易语言编写的枚举内核驱动程序的源代码集合。这个压缩包可能包含一系列的源代码文件,这些文件用于展示如何在易语言编写和管理内核驱动程序。 内核驱动是操作...
易语言枚举内核驱动
08-21
易语言枚举内核驱动源码系统结构:驱动操作_枚举内核驱动,进制转换_Unicode转Ansi,lblexit,InitializeObjectAttributes,进制转换_Ansi转Unicode,内存读写_读字节集内存,lms520_ZwOpenDirectoryObject,lms520_Loc
易语言枚举内核驱动源码.zip
07-14
在“易语言枚举内核驱动源码.zip”这个压缩包,我们关注的是如何在易语言实现枚举内核驱动的源代码。 内核驱动是操作系统核心的一部分,它们负责管理硬件设备、提供低级别的硬件访问和执行系统服务。在Windows...
编写ring0内核驱动程序,检测隐藏进程.zip
01-25
在IT领域,尤其是在系统安全和调试方面,编写Ring0级别的内核驱动程序是至关重要的技能。Ring0内核驱动程序运行在操作系统的最底层,拥有最高的权限,能够直接访问硬件和系统资源,包括管理和控制进程。这篇内容将...
驱动开发教程
05-07
|-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3...
EnumProcessHandle.rar(枚举进程句柄)MFC
10-13
通过调用ProcessHandleEnumDll实现遍历某一个进程的所有句柄,需要管理员身份运行,显示当前系统进程列表,可通过右键选择要查看的进程项,或在下方Edit输入10进制PID查看句柄,适用场景:需要查看进场当前句柄项,又无法进行调试器调试时,相对于使用调试器附加查看句柄,更快更高效也更安全
易语言枚举内核对象句柄
01-09
枚举内核对象句柄-易语言
驱动枚举进程
爱杀之爪的矩阵
03-14 1962
Driver.cpp // DriEnumProcess.cpp : Defines the entry point for the console application.//#include "Driver.h"#include "ntddk.h"#include #include "stdarg.h"#include "stdio.h"#include "ntddkbd.h"
windows 驱动实现进程枚举
全栈胖叔叔
05-08 947
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个
枚举进程句柄
xbgprogrammer的专栏
05-20 4284
目前正在做的项目进行性能测试,被通知进程句柄数已经
枚举任意进程内核对象句柄的方法
Hanxinyi930702的博客
09-07 606
原理: 调用ntdll的一个导出函数ZwQuerySystemInformation可以获取一些重要信息,函数定义如下: 1 NTSTATUS WINAPI ZwQuerySystemInformation( 2 _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass, 3 _Inout_ PVOID...
枚举内核对象Filefile
AlwaysBetter
05-18 153
最近分析了冰蝎的jni库,发现其的freeFile函数写的很底层,学习了一下: #include <windows.h> #include <stdio.h> #define _DWORD DWORD typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation,// 0 Y N SystemProcessorInformation,// 1 Y N SystemPerformanceInformation,
驱动-句柄
chengtoreal的博客
03-13 539
句柄表 当一个进程创建或者打开一个内核对象时,将获得一个句柄,通过这个句柄可以访问内核对象 句柄存在的目的是为了避免在应用层直接修改内核对象 只有进程才有句柄表,句柄表保存了进程打开或创建的内核对象 关闭句柄后,会在句柄删除对应的项值,并将内核对象引用计数+1 进程关闭后,会清空句柄表,将内核对象引用计数-1 句柄的值都是4的整数倍,所以将句柄的值/4得到索引,再在句柄找对应值得到实际内核对象地址 因句柄表值是8字节,一个页4KB,句柄在512个以内是在一个页上,如果超过512个,句柄标会更改结
解除游戏多开限制,关闭互斥体句柄
最新发布
任鸟飞2217777779的博客
04-10 4985
(这里的防护建议是,增加多种多开限制的方法 以及 逻辑增加多该互斥体的使用,这样可以避免直接被恶意关闭)比如说遍历窗口,遍历进程,配置文件,注册表,互斥体,mac地址,ip,公共文件,内存映射等等.方法很多.我们可以使用工具来查看互斥体,大家可以用XT,PCH等等工具。发现已经检测到我们开了一个窗口,只是没有进行限制。我们逐一关闭,看看关闭哪个之后就可以多开窗口了。出现了很多句柄, 找到Mutant类型的句柄

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值